2
Pix 501 SMTP Probleme
Ich habe ein großes Problem mit einem Exchange Server 2003 den ich hinter einen Pix 501 Firewall schalten möchte
Hallo!
Ich hoffe ihr könnt mit helfen, ihr seit wirklich sowas wie meine letzte Hoffnung. Ich habe über das Wochenende verzweifelt versucht einen Exchange Server 2003 hinter einer Pix 501 Firewall zum laufen zu bekommen. Erschwert wird das ganz noch durch eine sehr ungewöhnliche Netzwerkkonfiguration, da wir eine Schule sind. Bei mir werden die offiziellen IP Adressen (193.170.x.x) zunächst durch eine Firewall unseres Schulrates in 10.67.60.x Adressen übersetzt. Gleichzeitig blockt dieser Firewall (zu dem ich keine Zugriff hat) alle "gefährlichen" Ports darunter fällt auch der smtp Port. Daher werden alle E-Mails von außen zunächst an einen smtp Server des Schulnetzes geleitet welches dann die E-Mail an das smtp Protokoll meines Exchange 2003 weiterleitet. Da ich trotz all dem, dem Schulnetz nicht traue wollte ich jetzt eine Pix 501 zwischen meinen Exchange Server und dem Schulnetz schalten.
Der Pix selber hat eine andere 10.67.60.x Adresse als mein Mailserver. Also habe ich zunächst eine 1:1 NAT Übersetzung von 10.67.60.x auf 192.168.1.3 konfiguriert. Dann konnte mein Exchange Server ins Internet. Dann habe ich eine neue Regel erstellt die mir eine inbound connection von jedem externen Port auf Port 25 des Exchange Server erlaubt. Außerdem habe ich noch über die Befehlszeile "no fixup smtp 25" der config hinzugefügt da ich gelesen habe, dass es sonst ein Problem mit dem Exchange Server gibt. Das sollte doch funktionieren, oder? Damit sollte doch mein Mailserver nun erreichbar sein.
Nun tatsächlich schaffe ich es von einem Server der parallel im Schulnetz zum Pix geschalten ist eine E-Mail an den Server zu schicken. Ebenso kann der Server E-Mails verschicken. Nur wenn die e-mails von außen kommen dann funktioniert der Server nicht. Laut dem Schulnetz ist es für deren SMTP Server nicht möglich meinen SMTP zu kontaktieren, woran kann das liegen? Wenn ich den Mailserver wieder parallel zum Pix schalte dann erreicht aber der SMTP Server des Schulnetzes meinen SMTP Server. Also muss das Problem bei mir liegen. Kann mir da jemand helfen? Ich poste hier auch meine config. Ich hoffe für einen Cisco Experten ist dieses Problem sofort erkenntlich!
Vielen Dank für jede Hilfe,
Florian
Ich hoffe ihr könnt mit helfen, ihr seit wirklich sowas wie meine letzte Hoffnung. Ich habe über das Wochenende verzweifelt versucht einen Exchange Server 2003 hinter einer Pix 501 Firewall zum laufen zu bekommen. Erschwert wird das ganz noch durch eine sehr ungewöhnliche Netzwerkkonfiguration, da wir eine Schule sind. Bei mir werden die offiziellen IP Adressen (193.170.x.x) zunächst durch eine Firewall unseres Schulrates in 10.67.60.x Adressen übersetzt. Gleichzeitig blockt dieser Firewall (zu dem ich keine Zugriff hat) alle "gefährlichen" Ports darunter fällt auch der smtp Port. Daher werden alle E-Mails von außen zunächst an einen smtp Server des Schulnetzes geleitet welches dann die E-Mail an das smtp Protokoll meines Exchange 2003 weiterleitet. Da ich trotz all dem, dem Schulnetz nicht traue wollte ich jetzt eine Pix 501 zwischen meinen Exchange Server und dem Schulnetz schalten.
Der Pix selber hat eine andere 10.67.60.x Adresse als mein Mailserver. Also habe ich zunächst eine 1:1 NAT Übersetzung von 10.67.60.x auf 192.168.1.3 konfiguriert. Dann konnte mein Exchange Server ins Internet. Dann habe ich eine neue Regel erstellt die mir eine inbound connection von jedem externen Port auf Port 25 des Exchange Server erlaubt. Außerdem habe ich noch über die Befehlszeile "no fixup smtp 25" der config hinzugefügt da ich gelesen habe, dass es sonst ein Problem mit dem Exchange Server gibt. Das sollte doch funktionieren, oder? Damit sollte doch mein Mailserver nun erreichbar sein.
Nun tatsächlich schaffe ich es von einem Server der parallel im Schulnetz zum Pix geschalten ist eine E-Mail an den Server zu schicken. Ebenso kann der Server E-Mails verschicken. Nur wenn die e-mails von außen kommen dann funktioniert der Server nicht. Laut dem Schulnetz ist es für deren SMTP Server nicht möglich meinen SMTP zu kontaktieren, woran kann das liegen? Wenn ich den Mailserver wieder parallel zum Pix schalte dann erreicht aber der SMTP Server des Schulnetzes meinen SMTP Server. Also muss das Problem bei mir liegen. Kann mir da jemand helfen? Ich poste hier auch meine config. Ich hoffe für einen Cisco Experten ist dieses Problem sofort erkenntlich!
Vielen Dank für jede Hilfe,
Florian
Result of firewall command: "write terminal"
Building configuration...
: Saved
:
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password QSBw6fE/9tVdB3LW encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
no fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 192.168.1.4 proxy
name 192.168.1.3 mail
object-group network proxy
description Group of all Proxy Servers at HTL
network-object proxy 255.255.255.255
object-group service MediaServer tcp-udp
port-object range 1755 1755
port-object range 5005 5005
port-object range 554 554
object-group service MailServerTCP tcp
port-object eq www
port-object eq ftp-data
port-object range 3389 3389
port-object eq pop3
port-object eq https
port-object eq ftp
port-object eq smtp
port-object eq domain
object-group service MailServerTCPUDP tcp-udp
port-object range 143 143
port-object range 22 22
port-object range 220 220
access-list outside_access_in permit tcp any interface outside eq 3389 log disable
access-list outside_access_in permit udp any interface outside eq ntp log disable
access-list outside_access_in permit tcp any interface outside object-group MediaServer log disable
access-list outside_access_in permit tcp any host 10.67.60.232 object-group MailServerTCP log 7
access-list outside_access_in permit tcp any host 10.67.60.232 object-group MailServerTCPUDP log 7
access-list outside_access_in permit ip any host 10.67.60.232 log disable
access-list outside_access_in permit icmp any host 10.67.60.232 log disable
access-list inside_access_in permit tcp any any log disable
access-list inside_access_in permit udp any any log disable
pager lines 24
logging on
mtu outside 1500
mtu inside 1500
ip address outside 10.67.60.209 255.255.255.0
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location proxy 255.255.255.255 inside
pdm location mail 255.255.255.255 inside
pdm location 10.70.252.166 255.255.255.255 outside
pdm group proxy inside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.1.0 255.255.255.0 dns 0 0
static (inside,outside) tcp interface 81 proxy 81 netmask 255.255.255.255 0 0
static (inside,outside) tcp interface 3389 proxy 3389 netmask 255.255.255.255 0 0
static (inside,outside) udp interface ntp proxy ntp netmask 255.255.255.255 0 0
static (inside,outside) tcp interface 1755 proxy 1755 netmask 255.255.255.255 0 0
static (inside,outside) udp interface 1755 proxy 1755 netmask 255.255.255.255 0 0
static (inside,outside) tcp interface 554 proxy 554 netmask 255.255.255.255 0 0
static (inside,outside) udp interface 5005 proxy 5005 netmask 255.255.255.255 0 0
static (inside,outside) 10.67.60.232 mail netmask 255.255.255.255 0 0
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 10.67.60.128 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 10.70.252.166 255.255.255.255 outside
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.33 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
terminal width 80
Cryptochecksum:71f18deecf7db9b499a39adf8b63c8d6
: end
[OK]
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 72896
Url: https://administrator.de/contentid/72896
Printed on: April 19, 2024 at 18:04 o'clock
2 Comments
Latest comment
Weiß da wirklich niemand einen Rat? Kann mir vielleicht einer den Ausschnitt einer Pix Konfiguration posten mit der der STMP Server funktioniert hat?
Liebe Grüße,
Florian
Liebe Grüße,
Florian
Hallo,
ich hatte das Problem, dass die Pix interne Mails geblockt hat.
Habe einen POP/SMPTP Server der die Mails holt und dann per SMTP an meine Exchange weiterreicht.
Ich habe die ESMTP prüfung daktiviert. Frag mich aber nicht mehr wie es bei der 6er Version geht. Denke es war eine service-policy.
Bei der 8er Version finde ich das unter Configuration - Service Policy Rules - global_policy - inspection_default-Rule Actions und hier ESMTP ausschalten.
Warum diese Policy den internen Lanverkehr beachtet - keine Ahnung.
Hoffe es hilft Dir weiter bzw. bringt Dich in eine Richtung den Fehler zu finden.
MFG
Stefan
ich hatte das Problem, dass die Pix interne Mails geblockt hat.
Habe einen POP/SMPTP Server der die Mails holt und dann per SMTP an meine Exchange weiterreicht.
Ich habe die ESMTP prüfung daktiviert. Frag mich aber nicht mehr wie es bei der 6er Version geht. Denke es war eine service-policy.
Bei der 8er Version finde ich das unter Configuration - Service Policy Rules - global_policy - inspection_default-Rule Actions und hier ESMTP ausschalten.
Warum diese Policy den internen Lanverkehr beachtet - keine Ahnung.
Hoffe es hilft Dir weiter bzw. bringt Dich in eine Richtung den Fehler zu finden.
MFG
Stefan
